为什么在文件夹中创建的 crt 或 pvk 文件不继承对文件夹的完全控制权限?

Why full control permissions on a folder are not inherited by a crt or a pvk file created in the folder?

我有一个网络文件夹和两个机器帐户,node1$ 和 node2$,他们都对该文件夹具有完全控制权限。

我在node1机器上登录了一个SQL服务器实例,在网络文件夹中备份了一个SQL服务器证书,生成了一个crt和一个pvk文件。

然后我登录 node2 机器并尝试在另一个 SQL 服务器实例中恢复证书。但我不能,因为 node2$ 对请求的文件 .crt 和 .pvk 没有权限。

更重要的是,如果我检查创建的文件,node$1 机器帐户对这些文件没有明确的权限。相反,我找到了 "owner rights" ACE。

因此,这些文件似乎没有继承 node1$ 和 node2$ 对文件夹的权限。

其他类型的文件不会出现此问题。

我可以通过手动将文件的显式权限分配给 node2$ 来解决这个问题。

但我的问题是:为什么 .crt 和 .pvk 文件不像其他类型的文件那样继承权限?

documentation解释:

When performing a backup, the files will be ACLd to the service account of the SQL Server instance. If you need to restore the certificate to a server running under a different account, you will need to adjust the permissions on the files so that they are able to be read by the new account.

如您所知:继承被禁用 因为 T-SQL 命令 BACKUP CERTIFICATE 明确删除了除服务帐户以外的所有权限。